Domänencontroller unter Windows Server 2016/2019 herauf- und herabstufen

So steuern Sie das Active Directory flexibel

| Autor / Redakteur: Thomas Joos / Andreas Donner

Das Herauf- und Herabstufen von Domänencontrollern kann nicht nur zu Wartungszwecken sehr nützlich sein – es gibt jedoch einiges zu beachten.
Das Herauf- und Herabstufen von Domänencontrollern kann nicht nur zu Wartungszwecken sehr nützlich sein – es gibt jedoch einiges zu beachten. (Bild: © profit_image - stock.adobe.com)

Active-Directory-Domänencontroller können flexibel zu einem Mitgliedsserver herabgestuft und Mitgliedsserver problemlos zu einem Domänencontroller heraufgestuft werden. Die einzelnen Rollen lassen sich dabei zwischen Servern übertragen. Wir zeigen, wann dies sinnvoll ist und erläutern die Vorgehensweisen.

In Active Directory lassen sich Domänencontroller zu Mitgliedsservern herabstufen, oder Mitgliedsserver zu Domänencontrollern heraufstufen. Dadurch lässt sich beispielsweise die Rolle des Domänencontrollers so von einem Server zu entfernen, dass dieser danach noch als Mitglied in Active Directory zur Verfügung steht. Sinnvoll ist das zum Beispiel, wenn auf einem solchen Server noch Anwendungen installiert sind. Umgekehrt kann aus einem Mitgliedserver durch Heraufstufung jederzeit ein Domänencontroller werden.

Daten und Einstellungen gehen bei Herauf- oder Herabstufungen nicht verloren, bei der Änderung der Rolle eines Servers muss allerdings darauf geachtet werden, dass in Active Directory unterschiedliche Gruppenrichtlinien angewendet werden, und Domänencontroller wesentlich restriktiver eingestellt sind, also herkömmliche Mitgliedsserver.

Mitgliedsserver zu einem Domänencontroller heraufstufen

Um Mitgliedsserver zu einem Domänencontroller heraufzustufen, wird im Grunde genommen so vorgegangen, wie bei der Installation eines neuen Domänencontrollers. Wir haben die entsprechenden Vorgehensweisen in den Beiträgen „In 15 Schritten zum perfekten Domänencontroller“ und „10 Tipps für Active-Directory-Administratoren“ ausführlich erläutert.

Domänencontroller entfernen

In Windows Server 2016/2019 können das Computerkonto eines Domänencontrollers aus der Organisationseinheit „Domain Controllers“ entfernt und die Metadaten gelöscht werden. In diesem Fall ist der Server aber auch kein Mitgliedsserver mehr.

Ein versehentlich gelöschtes Domänencontroller-Konto kann mit dem Active-Directory-Verwaltungscenter und dem Active-Directory-Papierkorb wiederhergestellt werden. Damit das funktioniert, muss der Active-Directory-Papierkorb aber zunächst aktiviert werden (siehe Abbildung 1). Das erfolgt zum Beispiel im Active-Directory-Verwaltungscenter.

Um einen Domänencontroller herabzustufen, also von einem Domänencontroller zu einem Mitgliedsserver zu machen, ist das Cmdlet „Uninstall-ADDSDomainController“ der beste Weg. Um einen Domänencontroller herabzustufen, wird der folgende Befehl verwendet:

UnInstall-ADDSDomainController -LocalAdministratorPassword (Read-Host -Prompt Kennwort -AsSecureString

Über diesen Weg wird auch das lokale Kennwort des Administrators gesetzt. Handelt es sich um den letzten Domänencontroller der Domäne, wird die Option „-LastDomaincontrollerInDomain“ verwendet. Nach dem Herabstufen eines Domänencontrollers zu einem Mitgliedsserver sollte die Active-Directory-Domänendienste-Rolle und damit die Systemdateien von Active Directory entfernt werden. Auch das kann in der PowerShell erfolgen:

Uninstall-WindowsFeature AD-Domain-Services

Mit „Get-Help Uninstall-ADDSDomainController“ erhalten Administratoren mehr Informationen zu dem Befehl. Um den Vorgang zu testen, wird zuvor „Test-ADDSDomainControllerUninstallation“ verwendet. Um hierzu ausführliche Informationen zu erhalten, wird folgender Befehl verwendet:

Test-ADDSDomainControllerUninstallation | select -expandproperty message

Sobald Active Directory vom Server entfernt wurde, kann dieser neu gestartet werden. Nach der Herabstufung eines Domänencontrollers wird dieser als Mitgliedsserver in die Domäne aufgenommen. Wenn auf dem Server Applikationen installiert waren, zum Beispiel Exchange, stehen diese nach dem Neustart weiterhin zur Verfügung.

Wenn ein Domänencontroller, der die Verbindung mit dem Active Directory verloren hat, nicht neu installiert werden soll, kann Active Directory auch trotz fehlender Verbindung entfernt werden. In diesem Fall wird noch die Option „-force“ verwendet.

Nach der erzwungenen Entfernung von Active Directory ist der Domänencontroller allerdings auch kein Mitgliedsserver mehr, sondern ein alleinstehender Server. Mit diesem Server kann keine Anmeldung mehr an der Domäne erfolgen.

Entfernen von Active Directory über den Server-Manager

Wird auf einem Domänencontroller der Assistent zum Entfernen von Rollen und Features im Server-Manager gestartet, können der Domänencontroller herabgestuft und die Binärdateien entfernt werden. Dazu wird der Assistent zum Entfernen gestartet und die Active-Directory-Domänendienste zum Entfernen ausgewählt (siehe Abbildung 2). Der Assistent erkennt, dass der Server bereits zum Domänencontroller heraufgestuft wurde, und bietet eine Herabstufung über den Link „Diesen Domänencontroller tiefer stufen“ an (siehe Abbildung 3). Generell handelt es sich dabei um den gleichen Weg, wie beim Herabstufen über die PowerShell.

Wurde der Link ausgewählt, startet der Assistent zur Herabstufung (siehe Abbildung 4). Im Fenster kann ausgewählt werden, ob der Server eine Verbindung zu anderen Domänencontrollern aufbauen soll, um sich herabzustufen, oder ob Active Directory erzwungen vom Server entfernt werden soll. Das ist wie erwähnt dann sinnvoll, wenn der Server keine Verbindung mehr zu anderen Servern aufbauen kann.

Auf der nächsten Seite des Fensters erscheinen Informationen, welche Rollen auf dem Server vom Entfernen betroffen sind, und hier vor allem, ob es sich um einen DNS-Server oder einen globalen Katalog handelt (siehe Abbildung 5). Anschließend müssen das Entfernen dieser Rollen sowie das Entfernen der DNS-Delegierung bestätigt werden. Im Assistenten wird auch das neue lokale Administratorkennwort festgelegt. Durch einen Klick auf „Tiefer stufen“ wird der Domänencontroller herabgestuft (siehe Abbildung 6).

Bereinigung von Active Directory und Entfernen von Domänencontrollern

In manchen Fällen ist der Aufwand einer Fehlerbehebung viel größer, als einfach den betroffenen Domänencontroller neu zu installieren. Allerdings ist der Server bei einer Neuinstallation auch kein Mitgliedsserver mehr und muss daher wieder in Active Directory integriert werden. Durch die erneute Integration erhält der Domänencontroller dann aber wieder sämtliche nötigen Daten von den anderen Domänencontrollern der Domäne. Soll der Domänencontroller nicht neu installiert werden, bleiben folgende Möglichkeiten:

  • Der Domänencontroller soll zu einem Mitgliedsserver heruntergestuft werden, wenn zum Beispiel auf einem Server Exchange und Domänencontroller zusammen Probleme bereiten, aber der Server noch Verbindung zum Active Directory hat. Nach der Herabstufung funktioniert der Server weiterhin als Mitgliedsserver.
  • Der Domänencontroller läuft zwar noch und verwaltet installierte Applikationen, hat aber seine Verbindung zu Active Directory verloren. Er soll heruntergestuft werden, ohne Verbindung mit Active Directory zu haben oder neu installiert zu werden. Active Directory muss dazu nachträglich bereinigt werden. Die installierten Serveranwendungen bleiben installiert, die Mitgliedschaft in Active Directory muss nach einer Fehlerbehebung aber erneuert werden.
  • Der Domänencontroller ist komplett ausgefallen und funktioniert nicht mehr. Active Directory muss mitgeteilt werden, dass der Domänencontroller nicht mehr verfügbar ist. In diesem Fall werden die Daten des Servers aus Active Directory entfernt.

Domänencontroller aus dem Active Directory entfernen

Soll ein Domänencontroller aus Active Directory entfernt werden, müssen einige Vorbereitungen getroffen werden:

  • Es muss sichergestellt sein, dass der Domänencontroller nicht als bevorzugter oder alternativer DNS-Server von einem anderen Rechner der Domäne verwendet wird (auch nicht als DNS-Weiterleitungsserver).
  • FSMO-Rollen des Servers müssen auf einen auf anderen Domänencontroller verschoben werden.
  • DNS sollte vor der Herabstufung deinstalliert werden. Wurde DNS entfernt, sollte auf anderen DNS-Servern in den Eigenschaften der DNS-Zone überprüft werden, dass der Server auf der Registerkarte „Namenserver“ nicht mehr aufgeführt wird (siehe Abbildung 7). Es darf aber nicht der Hosteintrag des Servers entfernt werden, da dieser für die Herabstufung noch benötigt wird.
  • Es muss sichergestellt werden, dass der Domänencontroller nicht an irgendeiner Stelle als Domänencontroller eingetragen ist, zum Beispiel auf einem Linux-Server oder einem Exchange-Server.
  • Alle Active Directory-abhängigen Dienste wie VPN, Zertifikatstelle oder andere Programme, die nach der Herabstufung nicht mehr funktionieren, sollten bereits vorher vom Server entfernt werden.
  • Wenn es sich bei diesem Server um einen globalen Katalog handelt (siehe Abbildung 5), sollten andere Server als globaler Katalog konfiguriert werden. Im Snap-In „Active Directory-Standorte- und -Dienste“ unter „Sites/<Standort des Servers>/<Servername>/Eigenschaften der NTDS-Settings“ muss hierzu der Haken bei „Globaler Katalog“ gesetzt werden.
In 15 Schritten zum perfekten Domänencontroller

Wege zum stabilen und schnellen Active Directory

In 15 Schritten zum perfekten Domänencontroller

12.03.19 - Active Directory ist in Windows-Netzwerken essentielle Grundlage für einen stabilen Betrieb. Damit das AD optimal funktioniert, sollten Administratoren bei der Installation der Domäne und der Domänencontroller besonders umsichtig vorgehen. Wir zeigen die 15 wichtigsten Schritte beim Installieren neuer Domänencontroller auf Basis von Windows Server 2012 R2, Server 2016 und der neuen Version Server 2019. lesen

10 Tipps für Active-Directory-Administratoren

Mehr Sicherheit, Stabilität und Schutz

10 Tipps für Active-Directory-Administratoren

13.07.18 - Die Verwaltung von Active Directory ist keine einfache Angelegenheit. Mit diesen 10 einfachen Schritten lassen sich Probleme in Active Directory aber bereits im Vorfeld vermeiden, Datenverlust verhindern und Betriebssicherheit herstellen. lesen

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45810380 / Client-/Server-Administration)